政府から学ぶ情報セキュリティ対策のクラウド対応
情報セキュリティ対策についてのクラウド対応は、具体的にはどのようにすればよいのだろうか?
課題の列記や精神論的なものは目にすることも多いが、情報セキュリティ対策のマネジメントシステムを実施している組織が、規程の改訂などで具体的に何をしたのかを見る機会がほとんどないようだ。
そういうときに政府はどうしているかを見るのは参考になる。
ちなみに、外部委託とクラウドの関係は、昨年、以下のような発表をしたことがある。
「外部委託及びクラウドにおける情報セキュリティマネジメントシステム適合性評価の利用」
そんなことを踏まえながら、政府の対応を見てみるとよいだろう。
結論からすると、以下のとおり、補足説明の追加程度で済んでおり、特段の遵守事項の追加はないことがわかる。
管理的な観点では、以下の対応がされた。
外部委託に、外部の設備を利用したサービスが含まれることが追加解説された
外部設備を利用する場合に、データの所在に留意することが追加解説された
IT部門を通さずにITに相当する外部委託の発注を想定することが追加解説された
細則である外部委託のマニュアルの中で以下の追加がされた
「約款による情報処理サービス」という定義をして留意事項例がまとめられた
IT部門以外にも周知することが重要である点が追記された
技術的な観点では、以下の対応がされた。
通信回線の用語定義に仮想ネットワークを想定するよう追加解説された
サーバを共用することを想定するよう追加解説された
クラウド対応ということではないが関連することとしては、以下の遵守事項が追加された。
電子メールの送信元でのなりすまし防止対策
まとめてみると、上記のことくらいをすれば「クラウド対応」ができると言える。
上記のうち、主要なことは1つだけで、細則の「外部委託における情報セキュリティ対策実施規程 雛形付録」に、「約款による情報処理サービス」を追加したことと言ってもよいだろう。
クラウドが、何か新しい技術パラダイムであったり、新しい契約形態であるという紹介がされることもあるが、実務に照らしてみれば、従来の補足程度のことであることを示している。
ただし、クラウド対応を政府と同じくらい少なくできるかは、もととなる基準の品質に依存する。
つまり、
「クラウドを想定して検証することで、現状の情報セキュリティ対策の枠組みの出来具合がわかる。」
ことになるのは重要なことだ。
もしも、クラウドを想定して、現状の情報セキュリティ対策の見直しが多かったとしたら、それはクラウド対応なのではなく、現状の対策の枠組みがよく出来ていない可能性を疑ってみる必要もありそうだ。それはつまり、クラウド対応が局所的にならないような、全体枠組みを再構成するということの必要性を意味する。
その点で、政府の基準は枠組みとしては、ISO/IEC 27002などよりは、もともとよく整理してある。
今回のクラウド対応の検証では、統一基準は「外部委託(1.2.5.1)」以外に、以下のような観点の遵守事項をもとより定めている。
「情報の抹消(用語定義)」
「省庁外での情報処理(1.4.2.1)」
「省庁支給以外の情報システムによる情報処理(1.4.2.2)」
「主体認証・アクセス制御・権限管理・証跡管理・保証等の標準手順(1.5.2.4)」
「ドメイン名の利用(1.5.2.7)」
「リモート保守(2.3.2.3(1)(a))」
これらの枠組みの中で、クラウドを整理することができている点が重要だ。
これらについての基準がない組織では、政府の例を参考に、それらを加えてもよいだろう。
政府機関の基準関連文書を確認した結果は、以上のとおりだが、経緯を以下に紹介する。
政府は、「政府機関の情報セキュリティ対策のための統一基準」を公表している。
そこに掲載されている、
旧版である
「政府機関の情報セキュリティ対策のための統一基準(第4版)」
は、最新版で以下の2文書構成に分かれた
「政府機関の情報セキュリティ対策のための統一管理基準」
「政府機関の情報セキュリティ対策のための統一技術基準」
そこでまず、「政府機関統一基準改定の概要」を見てみると、最新版の改定はスライド2で示しているとおり、以下の5点で改定している。
A1.クラウド技術への対応
A2.外部からの不正アクセスに係る対応
A3.情報システムのセキュリティ強化に係る対応
B1.統一基準の全体構成の見直し
B2.教育・人材育成の充実
したがって、政府機関統一基準関連文書での改定差分のうち、上記の「A1.クラウド技術への対応」の観点での改定箇所を見れば、それが情報セキュリティ対策基準における「クラウド対応」ということになる。
大げさに言えば、改定差分からA1以外の改定を取り除くようなリバースエンジニアリングをするということだ。(笑)
それをするために、具体的な差分を、管理基準、技術基準、マニュアルの順に紹介してみる。
まず、目次レベルでの差分を確認してみる。
そのためには、「旧版からの項番対応表」を参照するとよい。
今回の改定では、「B1.統一基準の全体構成の見直し」があるため、構成が変更になっているが、クラウドに関するような項目の変更がないことがわかる。
したがって、目次レベルでは、クラウドという項目を追加などする必要がないと判断されたことになる。
次に、本文の差分を確認してみる。
そのためには、以下の2つの文書を参照するとよい。
・「政府機関の情報セキュリティ対策のための統一管理基準」と旧版の新旧対照表
・「政府機関の情報セキュリティ対策のための統一技術基準」と旧版の新旧対照表
管理基準については、以下の変更箇所がクラウドに関係するものになるだろう。
|
No.71で、
クラウドに直接関係するものではないが、
「情報の抹消」を「廃棄した情報が漏えいすることを防止するために、全ての情報を復元が困難な状態にすることをいう。削除の取消しや復元ツールで復元できる状態は、復元が困難な状態ではない。」
と明記することで、「情報の抹消」作業の要件を示している。
No.74で No.99に、 No.164に、 No.165に、 No.172とNo.173に、 No.175は、 No.215に、 No.302で、 No.305で、 No.329~336 No.423で、 |
技術基準については、以下の変更箇所がクラウドに関係するものになるだろう。
|
No.193で、
2.3.1.1(3)(a)解説にクラウドということでもないが、共用のサーバ室等の注意点として、
「なお、重要システムを設置している場合やサーバ室に設置している複数のサーバラックの運用主体が異なる場合、サーバラックの鍵を適切に管理すること等が考えられる。」
を追記している。
No.233で、 No.241からNo.246で、 No.258で、 No.291で、 No.297で、 |
以上が規則である遵守事項を定めた基準2文書の確認であるが、次に、細則に相当するマニュアル作成手引書の差分を見てみる。
政府は、「政府機関統一基準適用個別マニュアル群」を公表している。
この中で、今回のクラウド対応で改定したのは、DM6-02という文書番号の以下の3つである。
・「外部委託における情報セキュリティ対策実施規程 策定手引書」
・「外部委託における情報セキュリティ対策実施規程 雛形」
と「雛形付録」
(ウェブページ上では、ファイルが2つのように見えるが2つ目は上記のとおり、雛形と雛形付録の2つの異なるファイルへのリンクがあり、全部で3つのファイルがあるので注意)
基準と異なり、こちらには新旧対照表がないので、差分の比較のためには、PDFファイルをテキスト形式で保存したものを、ファイル差分比較のツールなどで横に並べて比較するとよい。
ページ番号がずれているために、その箇所がすべて差分として表示されるが、慣れてくると実際の本文の変更箇所を確認するのは、それほど大変ではない。
策定手引書の旧版からの差分については、以下のとおりだ。
まず、目次から見ていくと、以下の2点の変更だけである。
・以前の「8 外部委託の形態」の内容が「8.1外部委託する業務の分類」になり、新設の「8.2『約款による情報処理サービス』の利用による外部委託」が追加された
・「9.3.5再請負の原則禁止」が「9.3.5再委託に関する制限」に変更になった
こちらは、実際にはクラウド対応ということではなく、基準での表現変更を反映したもので、遵守内容に見合った見出しにしただけで内容の変更はない。
次に、本文を見ていくと、クラウドとは関係のない以下の変更がある。
・統一基準の変更の反映(基準文書の名称変更と、項番の変更など)
・参考資料の追加
そして、クラウドに関係する変更として
・9.3.1 外部委託に係る契約に「(14)『約款による情報処理サービス』利用時特有の留意事項」が追加された。
ここには、
約款が用意されており、情報セキュリティに関する事項について利用者による条件 選択の余地が限られている情報処理サービス(以下、「約款による情報処理サービス」 と言う。)を利用し、外部委託を行う場合である。(利用者に提供される機能など情報 セキュリティ以外の契約内容については要求に基づいて用意される又は条件選択や 修正ができるものであっても、情報セキュリティに関する事項に条件選択の制限があ れば、「約款による情報処理サービス」に含む。)例えばクラウドサービス等がこれに 該当する。 |
と記載されており、いわゆるパブリック・クラウドのうち、約款によって利用条件が決まっているものを「約款による情報処理サービス」として定義した。
そして、それに対して以下の留意点を示している。
|
一般に、外部事業者が提供する「約款による情報処理サービス」を利用する場合に
は、サービス内容の保証は提供事業者が定める利用規約等の約款の範囲に限られる。
したがって、省庁対策基準及び規定で許容されているかどうかを確認のうえ利用を検
討することが必要である。具体的には、別紙1の雛形に加え、留意事項とチェックリ
ストをまとめた別紙2の雛形付録を参照するとよい。 「約款による情報処理サービス」の利用に際しては、例えば以下の点に注意する必 要がある。 ・通常の情報処理サービスにより処理された結果生じる著作権等の権利については 利用者に帰属することが一般的であるが、「約款による情報処理サービス」では、 それらの権利の放棄や移管が利用条件となっている場合がある。 ・賃貸借・使用貸借部分の所有権はサービス提供者等の事業者側に帰属するため、 通常の情報処理サービスの利用終了時におけるデータ削除は、原状回復義務とし て利用者側の義務となることが想定されるが、「約款による情報処理サービス」 では、約款上、データ消去等をサービス利用者側で直接実施できないことがある。 ・「約款による情報処理サービス」では、利用したデータの削除についてサービス 提供者が個別には応じないことや、情報の置き場所が特定の場所に固定されず、 海外の法執行機関等による予期せぬアクセスが行われることがある。 |
さらに、以下のとおり、上記留意事項についてIT部門に限らずに広く周知させることが重要であることを強調している。
|
なお、サービスの中には無償で利用できるものもあるが、無償で利用する場合でも
外部委託に該当するとの認識が必要である。つまり、府省庁外の情報処理サービスを
利用する場合には、それが有償で調達手続きを経る場合だけではなく、無償で利用を
開始できる場合であっても、本手引書で解説している「外部委託における情報セキュ
リティ対策実施規程」を遵守することが求められる。無償で利用する例としては、無
償で提供されているメールサービスの利用やアンケート記入及び集計に係るウェブ
サービスの利用等を挙げることができる。 こうした無償サービスの利用においては、その利用者が調達に従事する行政事務従 事者に限られたものではないため、当該留意事項について別紙2の雛形付録に基づき、 府省庁内に広く周知する必要がある。 |
雛形については、以下のとおりだ。
・手引書の8章の変更と同様に、以前の、「3 外部委託を行う業務の形態」が「3.1外部委託する業務の分類」となり、新設として「3.2『約款による情報処理サービス』の利用による外部委託」が追加され、3章は「外部委託の形態」になった。
・7章「7 契約における手続」に「7.6『約款による情報処理サービス』の利用による外部委託に関する注意」が追加された。
・「第Ⅱ部 調達仕様における情報セキュリティ関連事項の記述例」が3章と同様に、以前の内容を「1外部委託する業務の分類に基づく事項」として、「2『約款による情報処理サービス』の利用に関する事項」が追加された。
ここでのポイントは、業務の分類に基づいて、
1.1情報システムの構築等の場合
1.2情報システムの運用・保守・点検の場合
1.3情報の加工・処理等の場合
1.4情報の保存・運搬の場合
の場合ごとの事項を記述した上で、それらに加えて『約款による情報処理サービス』の場合には、「2『約款による情報処理サービス』の利用に関する事項」を記述するというアドオン形式の構造になっている。
そして、今回の唯一と言える、クラウド対応として、別紙2「「約款による情報処理サービス」利用チェックリスト」を新たに設けている。
その中で、留意事項を表1で、1~18を示している。
チェックリストでは、「~~について約款上の記載があり、その記載内容は利用上問題ありませんか?」
という書き方をしているが、前段の「~~について約款上の記載があり、」という箇所では、「約款上に記載が明記されていない場合には、サービス提供者にサービス内容を確認せよ」ということになる。
それを確認したうえで、後段の「その記載内容は利用上問題ありませんか?」の問いは、
「サービスを利用する上でリスクを許容できるものであるかという意味を含むものである」としている。
したがって、政府の基準関連文書での、クラウド対応の中心的なものは、外部委託マニュアルにおいて、「約款による情報処理サービス」という定義をして、そのためのチェックリストを示したことである。
以上を参考にして、情報セキュリティ対策でのクラウド対応に役立てることができるだろう。
実際に使われている文書が、無償で再利用、再配布自由というのだから、使わない手はないだろう(笑)
5月 19, 2011 | Permalink
コメント